自定义从 AD FS 2019（不是 Azure AD）返回的 id_token

Question

我正在使用的一个客户端在服务器上安装了 AD FS 2019，我们已经配置了一个服务器应用程序，我们可以成功地使用它来使用 OpenID Connect 登录。我们被重定向到重定向 URI，并从令牌端点接收一个 id 令牌和一个访问令牌。

但是，我看不到任何地方可以向 ID 令牌添加声明。在服务器应用程序的属性中，我们可以添加重定向 URI，我们会看到客户端 ID，仅此而已。是否可以向 id 和访问令牌添加声明？

我们设法做到这一点的唯一方法是在 AD FS 的同一应用程序组中创建一个 Web API 应用程序。在那里我们可以自定义令牌。但是，这似乎不是最好的方法。基本上，Web API 应用程序的存在只是为了修改我们在用户登录时获取的令牌。

This question 似乎是关于同样的问题，但最后一条评论来自 2017 年 12 月。我希望能得到一些新信息。

This 文档中的指南讨论了自定义 ID 令牌中的声明，但他们也为它创建了一个 Web API 应用程序。这是最佳实践方式吗？我对 AD FS 不熟悉，因此我们将不胜感激。

Answer 1

问题是创建应用程序不允许您查看选项卡以创建声明规则。

因此您无法添加声明。

查看此选项卡的唯一位置是 Web API。

因此文档中的方法。

所以这不是最佳实践，因为这是唯一可能的方法！